Ce malware sophistiqué, détecté pour la première fois en février, cible les appareils Android et exploite les services d’accessibilité du système pour prendre le contrôle des smartphones de manière furtive.

Le mode opératoire est redoutable : une fois installé via des applications infectées sur le Google Play Store ou des liens de phishing, BTMOB RAT obtient des permissions élevées sans éveiller les soupçons de l’utilisateur. Il peut ainsi :

• accéder aux messages, aux identifiants de connexion,
• aspirer les données bancaires affichées à l’écran,
• intercepter les frappes clavier ou récupérer le contenu du presse-papiers (mots de passe, codes OTP, etc.),
• et maintenir un accès persistant, même après redémarrage.

Selon les dernières estimations de Kaspersky et Lookout Mobile Security, plus de 500 000 installations de logiciels malveillants exploitant l’accessibilité Android ont été recensées en 2024. Ces techniques permettent aux pirates de contourner les antivirus classiques, d’autant plus que les utilisateurs activent souvent ces services pour des raisons pratiques (lecture d’écran, navigation vocale, etc.).

L’alerte de la DGSSI insiste sur la gravité de l’impact potentiel, notamment dans les secteurs sensibles (banques, télécoms, administrations). La direction invite à une surveillance renforcée des permissions accordées aux applications et à éviter les téléchargements hors sources vérifiées. Il est également conseillé d’utiliser des solutions de sécurité mobile reconnues et de vérifier régulièrement les activités suspectes dans les paramètres Android.

Cette alerte s’inscrit dans un contexte où les cyberattaques mobiles se multiplient. En 2023, le rapport de Zimperium relevait une hausse de 51 % des attaques ciblant Android à l’échelle mondiale, avec une prédilection pour les pays émergents aux infrastructures numériques en pleine expansion.